PrecioImaginemos que tengo planeado un viaje a Tenerife con mis amigos en unas fechas próximas. Lo he comentado en mi perfil de Twitter, donde me han preguntado algunos de mis seguidores por el sitio. He colocado mi futuro viaje en mi perfil de Google+, para que me recomienden qué restaurantes son dignos de visita, y también en Facebook, donde además he seguido una interesante conversación con mis amigos sobre qué vamos a hacer cuando estemos por allí, y en qué fechas iremos.

Ahora pongamos que una ficticia empresa que vende por Internet paquetes vacacionales pudiera tener acceso a esa información, y la procesara cuando yo entrase a su página web en busca de billete de avión, hotel, o una reserva completa. ¿Sería honesto que me subieran el precio porque saben que es un plan ya decidido viajar a Tenerife? Y si al contrario, ya que tienen esa información con mis preferencias, ¿qué tal si me buscaran las mejores ofertas y el precio fuera más barato? ¿Qué pensáis que harían?…

A quien le suene a ciencia ficción, que se vaya preparando. De hecho, la discriminación de precios es una práctica cotidiana en el mundo real. Pensemos en los descuentos que se hacen en el cine a la tercera edad, o a los estudiantes por el mero hecho de serlo. El mismo bien (película) se cobra a diversos precios en función de las características del consumidor.

Aunque son unos ejemplos muy simples, pueden cogerse para ver qué va a pasar en el comercio electrónico. En ese caso, no sólo existe la posibilidad de seleccionar qué trato se les da a los clientes, como en el mundo real, sino que existe tecnología suficiente para afinar más todavía teniendo en cuenta nuestro comportamiento en Internet.

Los negocios on-line ya tienen capacidad para discriminar al usuario que tienen delante. La publicidad comportamental es un primer paso, porque escoge no ya al usuario, sino los bienes que le anuncia, en función de la información de que dispone. Lo siguiente que nos queda por ver es esta nueva discriminación, la que se realizará en el precio teniendo en cuenta toda la información que se tenga del usuario. A la tecnología de las “cookies”, hay que ir sumando la que permite hacer un seguimiento de los usuarios en las diversas redes sociales, como Twitter, Facebook o Google+. En muchas páginas web además nos permiten identificarnos con los mismos credenciales de acceso a esas redes, así que con eso se facilita la exploración y posterior explotación de nuestro perfil. Entrarán también en juego los elementos más insospechados, como puede ser el dispositivo desde el que compro, que puede denotar mayor o menor poder adquisitivo, el lugar geográfico desde donde compro, o las preferencias que haya manifestado en mis diversos perfiles “sociales” en conversaciones con mis amigos o seguidores.

La semana pasada guardé desde Twitter un post de un Blog de Yahoo con la siguiente noticia: ¿Utilizan las compañías aéreas las cookies para encarecer sus billetes?  Es interesante el relato, ya que denuncia una posible maniobra de las webs de venta de billetes de avión para aumentar el precio en caso de que consultemos otras para comparar y retornemos después en busca del mismo billete. El autor finaliza el artículo justificando que los cambios de precio no obedecen a oscuras conspiraciones, sino a que se han ido agotando las plazas, y claro, a menos plazas, mayor precio. Puede ser, pero ¿qué tal después de leer lo anterior?

Me pongo en el lugar de un usuario. Si he sido bien informado, y he aceptado que una empresa recopile información sobre mí no ya sólo en mis visitas a su página web, sino también recopilando información de las redes sociales… ¿es esto lícito? ¿aceptaría esas condiciones? Que me bajen precios no es problema, pero ¿voy a enterarme de si el precio que me ofrece es igual o diferente del que está ofreciendo a otros usuarios? Esa web que estoy visitando, ¿la ve igual otro usuario, con los mismos productos, o me están mostrando la que consideran conveniente, quizá con todo más caro…? Muchas incógnitas, y lo que es más fácil, es posible que no me entere de que está sucediendo por que no se me cuente toda la verdad.

Es viejo el asunto en el mundo analógico, no así en el digital. Agradecería que si alguno tenéis información o fuentes sobre discriminación de precios y privacidad, lo compartáis en los comentarios.

Como curiosidad, buscando información sobre la discriminación de precios y privacidad me he encontrado con una noticia de 1999 del New York Times(¡…!) en la que se cuenta que Coca-Cola estaba investigando una tecnología para que las máquinas expendedoras subieran ellas solitas el precio de las bebidas en función de la temperatura.Coca-Cola

Este sí que es un reto que se nos presentará en breve a los profesionales de la privacidad. ¿Cómo asesorar correctamente a la empresa que quiere poner a funcionar un sistema de este tipo?… ¿es lícito?… ¿cómo hay que informar al usuario?…

Así que nada, cada vez que hagamos “clic” en un “Me gusta” de Facebook, a pensar que quizá nos meterán la mano en el bolsillo sin que nos estemos enterando la próxima vez que compremos en Internet.

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

– informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

– controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

– controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

– asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

– controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

– actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.